Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Баг WordPress ставит под угрозу многие блоги
Экономика
Критическая уязвимость, найденная в плагине WordPress, который скачали более 1.7 миллионов раз, позволяет потенциальным злоумышленникам получить полный контроль над блогами, использующими данный плагин.
«Этот баг следует принимать всерьез. Он дает потенциальному злоумышленнику возможность сделать все, что он захочет на веб-сайте своей жертвы», сказал Даниэль Сид, главный директор по технологиям Sucuri, в своем блоге во вторник. «Уязвимость позволяет загрузить любой PHP-файл. Это может позволить злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, хостинга вредоносного ПО, заражения других клиентов (на общем сервере) и так далее!»
Уязвимость исправлена в MailPoet версии 2.6.7, выпущенной во вторник, так что всем администраторам блога WordPress необходимо обновить плагин до последней версии как можно скорее, если они его используют.
Уязвимость появилась в результате ошибки разработчиков MailPoet, которые полагали, что хук «admin_init» в WordPress срабатывает только когда администратор посещает страницы из панели администрирования, сказал Сид.
Разработчики MailPoet использовали admin_init для проверки — разрешено ли активному пользователю загружать файлы, но так как это хук на самом деле срабатывает на странице, доступной для неидентифицированных пользователей, функциональность загрузки файлов была доступна практически любому.
Легко сделать такую ошибку, и все разработчики плагинов должны помнить о таком поведении, сказал Сид. «Если вы разработчик, никогда не используйте admin_init () или is_admin () в качестве метода проверки подлинности».
Сайты WordPress являются постоянной мишенью для злоумышленников, и те, которые взламывают, часто используются для размещения спама или вредоносного содержимого в качестве части других атак. Киберпреступники производят сканирование в Интернете каждый день, чтобы определить инсталляции WordPress, подверженные уязвимостям, как обнаруженная в MailPoet.